España se encuentra en el segundo lugar en Europa en cuanto a episodios de ciberataques en el sector sanitario, con 25 incidentes registrados entre 2021 y 2023, según el informe ENISA Threat Landscape: Health Sector. En un 68% de estos casos, los ataques se produjeron debido a una configuración de seguridad deficiente.
En un contexto donde la prevención de riesgos es fundamental, el sector sanitario, al igual que otras industrias, ha optado por la digitalización de sus procesos y servicios. Aunque esta transformación tecnológica ofrece numerosas ventajas, también conlleva una mayor vulnerabilidad frente a los ciberataques. De hecho, esta industria ha experimentado el 8% del total de incidentes de ciberseguridad, superando a sectores como la banca, el transporte o la energía.
Ciberataques en el sector de la salud
Durante el período analizado por el informe de ENISA, se observó que los centros asistenciales, especialmente los hospitales, son los principales blancos de los ataques en el sector sanitario, representando el 53% y el 42% del total, respectivamente. Les siguen las autoridades públicas de salud con un 14%. Esto es crucial porque los ataques dirigidos a hospitales pueden tener consecuencias críticas. Por lo tanto, es fundamental implementar medidas para proteger sus sistemas.
Uno de los principales desafíos para hacer frente a esta amenaza es la falta de presupuesto para implementar medidas de seguridad adecuadas y para capacitar al personal en protocolos y buenas prácticas en ciberseguridad. De hecho, un 16% de los ataques se atribuye a errores humanos, como la instalación accidental de malware a través de correos de phishing. Esta escasez de recursos es especialmente evidente en el sector público, que durante el período analizado (2021-2023) sufrió más de 40 ciberataques de alta peligrosidad, como ataques de denegación de servicio o ransomware.
Directiva NIS2,
El aumento de los ciberataques ha llevado a la creación de la Directiva NIS2, una normativa de la Unión Europea destinada a elevar el nivel de ciberseguridad. Esta directiva es obligatoria tanto para grandes organizaciones de salud con más de 50 millones de euros de facturación y más de 250 empleados, como para pequeñas y medianas empresas, independientemente de su facturación o número de empleados, debido a la importancia crítica del sector.
Para cumplir con esta nueva normativa y mejorar la seguridad, nettaro ayuda a las organizaciones sanitarias a definir su estrategia de ciberseguridad e implementar marcos de seguridad y cumplimiento reconocidos, como ISO27001, ISO27701, RGPD o ENS.
Por qué en la sanidad
Un ciberataque en un hospital no solo implica costos económicos significativos —se estima que entre 94.000€ y 470.000€ para recuperar datos y restaurar operaciones—, sino que también puede interrumpir servicios vitales mediante un ataque de denegación de servicio distribuido (DDoS), lo que resulta en la desconexión de la red, interrupción de comunicaciones entre departamentos, acceso limitado a historiales médicos y la postergación forzada de intervenciones, poniendo en peligro la vida de los pacientes.
El aumento de los ataques de ransomware en el sector sanitario, que ha registrado hasta 500 incidentes en todo el mundo desde 2018, con un costo económico de 92.000 millones de dólares, ha resaltado la importancia de proteger los datos. Esto se debe a que en el 43% de los casos, además de la interrupción de servicios, los ataques de ransomware implican el robo de datos.
Para abordar esta amenaza, nettaro ofrece servicios de Prevención de Pérdida de Datos (PDD), gestionando los riesgos de privacidad según lo establecido en la normativa ISO 29134, fundamental para proteger la privacidad en los procesos TIC que involucran información de identificación personal (PII).